Зашёл не туда — пакет уже не ваш: как работает поддельный PyPI и кто под угрозой
Фонд Python Software Foundation предупредил разработчиков о новой волне фишинговых атак, направленных против пользователей платформы Python Package Index (PyPI). Этот сервис, доступный по адресу pypi. org, служит крупнейшим хранилищем пакетов для языка Python и является важнейшей частью экосистемы open source.
Атака основана на классической схеме: злоумышленники рассылают письма с призывом "подтвердить электронную почту" для "обслуживания и обеспечения безопасности аккаунта". В случае отказа пользователям якобы грозит блокировка учётной записи. Ссылки в письмах ведут на поддельный ресурс pypi-mirror[.]org, который имитирует интерфейс PyPI.
"Если вы уже перешли по ссылке и ввели свои учётные данные, мы рекомендуем немедленно сменить пароль в PyPI, — сказал разработчик Python Software Foundation Сет Ларсон. — Проверьте историю безопасности своей учётной записи на наличие чего-то неожиданного".
Злоумышленники нацелены на похищение паролей и токенов доступа. Получив такие данные, они могут загрузить в PyPI вредоносные пакеты или изменить существующие библиотеки, внедрив в них вредоносный код. Подобные атаки становятся особенно опасными из-за широкой зависимости разработчиков от сторонних библиотек в Python-проектах.
Как именно атакуют пользователей
-
Письмо приходит от имени PyPI с убедительным оформлением.
-
В тексте указывается угроза блокировки аккаунта.
-
Пользователь переходит по ссылке на поддельный сайт, визуально копирующий оригинал.
-
Введённые данные (логин, пароль, токен) уходят напрямую к атакующим.
Ранее применялся аналогичный приём с использованием домена pypj[.]org. Всё это часть единой фишинговой кампании, направленной на дезориентацию сообщества Python-разработчиков.
Советы шаг за шагом
-
Никогда не переходите по ссылкам из писем — открывайте PyPI только вручную, набирая pypi. org в адресной строке.
-
Настройте двухфакторную аутентификацию (TOTP или FIDO2-ключи).
-
Используйте менеджеры паролей: они автоматически подставят данные только на корректных доменах.
-
Проверяйте журнал активности аккаунта PyPI.
-
Сообщайте о подозрительных письмах команде безопасности: security@pypi.org.
-
Храните резервные копии критичных пакетов локально.
Ошибка → Последствие → Альтернатива
-
Переход по ссылке из письма → компрометация аккаунта → использовать только ручной ввод адреса pypi. org.
-
Отсутствие 2FA → лёгкий доступ к аккаунту при краже пароля → включить двухфакторную защиту.
-
Игнорирование подозрительной активности → заражение пакетов → мониторить изменения и уведомлять PyPI.
-
Использование одного пароля для разных сервисов → массовые утечки → применять менеджеры паролей и уникальные комбинации.
А что если…
-
Если пароль уже введён на фишинговом сайте — нужно срочно его сменить и отозвать все токены доступа.
-
Если пакет был скомпрометирован — перевыпустить его с исправлениями и уведомить пользователей.
-
Если атаки станут массовыми — можно ожидать ужесточения требований PyPI к безопасности (например, обязательное использование аппаратных ключей).
Плюсы и минусы PyPI для разработчиков
| Плюсы | Минусы |
| Централизованное распространение пакетов | Высокая привлекательность для атак |
| Простота установки библиотек через pip | Уязвимость при компрометации аккаунта |
| Активное сообщество | Наличие вредоносных пакетов в истории |
| Бесплатный доступ | Требует бдительности и контроля безопасности |
FAQ
Что делать, если я получил письмо от PyPI?
Не переходите по ссылкам. Проверяйте отправителя и заходите только через pypi. org.
Насколько опасно попасться на фишинг?
Ваши данные могут быть использованы для публикации вредоносного кода от имени вашего аккаунта.
Можно ли полностью защититься?
На 100% — нет, но двухфакторная аутентификация и использование менеджеров паролей сильно снижают риски.
Что делать, если аккаунт уже взломан?
Смените пароль, отзовите токены, проверьте пакеты и напишите в службу безопасности PyPI.
Будет ли PyPI ужесточать правила?
Вероятно, да. Сообщество активно обсуждает обязательное внедрение 2FA и аппаратных ключей.
Мифы и правда
-
Миф: "Фишинг легко отличить по внешнему виду письма".
Правда: злоумышленники используют дизайн, полностью копирующий оригинал. -
Миф: "Если пакет маленький и неизвестный, на него не нападут".
Правда: атакуют всех подряд, ведь вредоносный код может попасть в зависимости крупных проектов. -
Миф: "2FA не нужен, достаточно сложного пароля".
Правда: двухфакторная аутентификация в разы усложняет жизнь злоумышленникам.
Сон и психология
Постоянные предупреждения о фишинге вызывают у разработчиков тревожность и утомление — так называемую "усталость от безопасности". Чтобы снизить психологическую нагрузку, стоит автоматизировать процессы защиты: использовать менеджеры паролей, единые политики безопасности в командах и минимизировать ручные проверки.
Три интересных факта
-
PyPI содержит более 500 тысяч пакетов, и каждый день загружается около 1 миллиона установок.
-
Первые зафиксированные случаи вредоносных библиотек на PyPI появились ещё в 2017 году.
-
Многие крупные компании, включая Google и Meta, используют PyPI для своих внутренних библиотек.
Исторический контекст
-
2017 год — первые инциденты с вредоносными пакетами в PyPI.
-
2020 год — активизация атак через поддельные библиотеки с похожими названиями.
-
2023 год — введены дополнительные меры безопасности, включая поддержку аппаратных ключей.
-
2025 год — новая фишинговая кампания с использованием доменов pypi-mirror[.]org и pypj[.]org.
Подписывайтесь на NewsInfo.Ru
